According to the tutorial, I should be able to change the Common Name during this process
Esse tutorial diz para você gerar uma nova chave com openssl genrsa
AND new CSR com openssl req -new
AND criar o certificado do CSR com openssl ca
.
(Embora, como muitas pessoas, indique erradamente que um certificado é criado ao "assinar o CSR". O CA não assina o CSR.
A CA assina o certificado, que cria parcialmente baseado em o CSR, mas é diferente do CSR. / rant)
Ao gerar um novo CSR , você especifica o nome do assunto, incluindo, entre outros, o nome comum,
que, como diz, deve diferir dos certificados de AC acima, e deve diferir de outros certificados de EE para evitar confusão.
openssl ca
pode, na verdade, substituir o nome da entidade para um certificado emitido (o nome inteiro, não o Nome comum individualmente),
mas isso levará a certificados com nomes diferentes para a mesma chave, o que é, na melhor das hipóteses, desnecessariamente confuso
e normalmente menos seguro (embora você não se importe com essa parte, outras o fazem, por isso não é fácil).
Error Loading extension in section usr-crt
... no value ... name=email_in_dn
Could this be coming from an upstream defaults file ...
Não diretamente. openssl ca -config xxx
usa xxx e apenas xxx, como seu arquivo de configuração. Se o seu arquivo é derivado do upstream, o nome da seção que você deseja é usr_cert
, como você aparentemente descobriu, mas você não precisa especificar usr_cert, porque é o padrão. A mensagem de erro sobre email_in_dn é apenas uma sobra na pilha de erros e o único erro real foi usr-crt
; uma vez que você consertar, -noemailDN
não é necessário, embora você possa querer mesmo assim.
Does this have something to do with subjectNameAlt?
Assumindo que você quer dizer unique_subject
, não. subjectAltName
(não subjectNameAlt
) aka SAN é um comum
extensão que especifica nomes alternativos para o assunto,
mas unique_subject
relaciona apenas o campo básico Subject
não qualquer SAN.
client-side certificate to install in a browser that will be accessing the internet through the proxy
Para ser claro, um certificado de cliente como este é útil apenas para se autenticar no proxy . Você não pode usar um certificado no cliente / navegador para se autenticar em algo na Internet através de QUALQUER HTTPS MitM, e você não pode usar um certificado de cliente que você mesmo emite para autenticar no sistema de qualquer outra pessoa na Internet.